Видео: therunofsummer (Октября 2024)
Исследователи обнаружили вредоносное ПО, разработанное для шпионажа за пользователями на ангольском активистском Mac.
Независимый исследователь безопасности Джейкоб Аппельбаум обнаружил новый и ранее неизвестный бэкдор на Mac активиста во время форума свободы в Осло, пишет Аппельбаум в Twitter. Вскоре после этого он обнаружил второй вариант на компьютере другого активиста.
«Похоже, это новое вредоносное ПО с совершенно новым поведением», - сказал Богдан Ботезату из BitDefender в интервью SecurityWatch .
По крайней мере, в случае первой атаки, активист стал жертвой фишинг-атаки, в ходе которой он заманивал загружать и устанавливать вредоносное ПО при входе в Mac, сказал Ботезату.
Что делает вредоносное ПО
Бэкдор-приложение, кажется, делает снимки экрана компьютера пользователя и сохраняет их в папке в домашнем каталоге пользователя под названием MacApp, пишет Шон Салливан из F-Secure в блоге компании. Исследователи F-Secure подозревают, что это было коммерчески разработано, сказал Салливан SecurityWatch .
После установки приложение добавляется в список элементов входа текущего пользователя, список приложений, которые запускаются автоматически при входе пользователя в Mac. Вредоносная программа загружала снимки экрана на два командно-контрольных сервера - один в Нидерландах, а другой во Франции.
По словам Ботезату, основная задача сервера командования и управления - собрать весь скриншот, но он также хранит имена хостов и дополнительную информацию о зараженных машинах. Исследователи BitDefender обнаружили, что второй вариант бэкдора Mac также связывался с сервером в Румынии для загрузки дополнительных полезных нагрузок и компонентов.
Возможно, этот сервер будет действовать в качестве запасного варианта для преступников, если другие серверы будут приостановлены, сказал Ботезату.
В то время как само вредоносное ПО было «бесхитростным», оно все же было способно собирать информацию о действиях пользователя на этом компьютере, «не создавая слишком много шума», сказал Ботезату.
Был украден Apple ID?
Вредоносная программа была подписана с действительным идентификатором Apple Developer ID, что означало, что она не будет обнаружена функциональностью Gatekeeper в Mac OS X. Apple представила Gatekeeper, который предотвращает выполнение неподписанных приложений, загруженных из Интернета, в Mac OS X Mountain Lion и Lion v10.7.5 в прошлом году. BitDefender считает, что это первое вредоносное ПО для Mac, подписанное цифровой подписью с подлинным Apple ID.
В настоящее время неизвестно, был ли ключ украден у законного разработчика, или разработчик вредоносных программ обманом заставил Apple сгенерировать идентификатор. Учитывая, что название похоже на известную звезду Болливуда, которая недавно умерла, вероятно, разработчик создал поддельную личность как часть процесса подачи заявки, сказал Ботезату.
Пользователи могут заглянуть в свои домашние каталоги, чтобы узнать, есть ли папка MacApp, чтобы выяснить, заражены ли они.
По словам Аппельбаума, хотя вредоносное ПО было «хромым», поскольку его было легко обнаружить, оно все же было «смертельно опасным». «Проблема в том, что автор был достаточно хорош, чтобы подвергнуть кого-то смертельной опасности», - написал Аппельбаум в Twitter.
